Protection des données: les implications de la nouvelle réglementation

Dossier
Par · 24/02/2017

Sommaire

  1. GDPR: révolution ou continuité? GDPR: révolution ou continuité? Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Le nouveau Règlement général pour la protection des données (GDPR en anglais) s’inscrit dans le droit fil des réglementations européennes “pro-vie privée” mais ajoute à la liste nombre de nouvelles obligations et contraintes. Petit passage en revue de quelques nouveautés.
  2. GDPR. Toutes concernées GDPR. Toutes concernées Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Aucune société, quelle que soit sa taille ou son secteur d’activité, aucun professionnel n’échappera aux implications de la nouvelle réglementation. Les PME, en particulier, seraient mal inspirées de s’estimer peu concernées.
  3. GDPR: Par où commencer? GDPR: Par où commencer? Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Quelles sont les premières étapes à franchir pour se mettre en conformité avec le nouveau Réglement Général pour la Protection des Données? Combien de temps et de ressources prévoir? A qui confier la tâche? Voici quelques conseils.
  4. GDPR: contrainte ou opportunité ? GDPR: contrainte ou opportunité ? Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Pour beaucoup de sociétés, l’arrivée de la GDPR ressemble fort à un ciel qui leur tombe sur la tête. Certes le chantier risque d’être d’envergure mais pourquoi ne pas surtout y voir une opportunité nouvelle de différenciation et de compétitivité?
  5. DPO, nécessaire ou non? DPO, nécessaire ou non? Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Un DPO (Digital Protection Officer) - délégué à la protection des données, en français - devra souvent être désigné au sein d’une société. Quelles sont ses responsabilités, ses compétences, ses relations avec les autres responsables de la société?
  1. GDPR. A chacun ses responsabilités GDPR. A chacun ses responsabilités Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Aux termes du nouveau règlement, qui est responsable de quoi? Que doit faire la société à qui appartiennent les données ou qui les traite? Quid des sous-traitants et partenaires? De la personne désignée “délégué à la protection des données”? De la société qui procède à l’audit?
  2. GDPR. Le gros bâton des sanctions GDPR. Le gros bâton des sanctions Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Tout professionnel pris en défaut de conformité s’exposera à de lourdes sanctions financières. Les autorités se montreront-elles sévères ou plus ou moins accommodantes? Qui courra le risque de le vérifier?
  3. Tous à vos contrats ! Tous à vos contrats ! Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - L’arrivée de la GDPR (General Data Protection Regulation) est synonyme de nouvelles responsabilités pour les sous-traitants, quel que soit leur rôle. Il est dès lors conseillé, à toute entreprise, de revoir ses contrats et de vérifier si son/ses partenaire(s) respectent ou sont en mesure de respecter les nouvelles dispositions.
  4. GDPR. Quelques conseils pour bien se préparer GDPR. Quelques conseils pour bien se préparer Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Tout au long de ce dossier, vous aurez pu glaner des conseils et informations sur les mesures à prendre pour se conformer aux dispositions de la GDPR. Mais voici un petit synoptique de conseils essentiels tels que es préconisent trois de nos interlocuteurs.
  5. Quelques ressources et documents de référence Quelques ressources et documents de référence Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Quelques sources d’informations utiles en matière de GDPR.
  6. Un brin de terminologie Un brin de terminologie Publié par Brigitte Doucet, 24/02/1717 DOSSIER GDPR - Explication de divers termes et acronymes utilisés dans le cours de ce dossier consacré à la Réglementation générale sur la Protection des Données.

En mai 2018 – une date à la fois si lointaine et si proche -, aucune société, aucun professionnel ne pourra plus fermer les yeux sur le nouveau Réglement Général de Protection des Données (GDPR, General Data Protection Regulation, en anglais).
De quoi s’agit-il? D’une réglementation européenne, transposée automatiquement dans toutes les législations nationales, qui vient remplacer les précédentes Directives européennes, quelque peu vieillies et dépassées par les nouvelles pratiques numériques (elles datent respectivement de 1995 et 2002. Une éternité à l’heure du cyber-tout.
Objectif de l’Europe: renforcer le droit des citoyens à la protection de leur vie privée.
Si le nouveau règlement s’inscrit dans le droit fil des dispositions pré-existantes, elle va nettement plus loin et apporte avec elle de nouveaux principes et de nouvelles contraintes pour quiconque traite des données à caractère personnel (adresse mail, données pouvant servir à “profiler” une personne, identifiants électroniques…).
Tant les entreprises que leurs sous-traitants (prestataires de services, fournisseurs, développeurs de solutions) sont concernés.
Exemples de nouveaux droits pour l’individu, qui sont autant de mécanismes et procédures nouvelles à mettre en oeuvre côté professionnels? L’obligation de bonne gouvernance du responsable de traitement mais aussi responsabilités nouvelles pour le sous-traitant, droit de l’individu à faire rectifier ses données personnelles, à en demander l’effacement (droit à l’oubli), à les “porter” (autrement dit, d’exiger leur transfert vers un autre prestataire), à être informé en cas de violation, vol, détournement, problème quelconque avec ses données.
Autre nouveauté: des sanctions non négligeables – jusqu’à 4% du chiffre d’affaires de la société – si la société est prise en défaut de protection.
Nous vous proposons ce dossier pour faire le tour d’une série (non exhaustive) de questions. Du genre: quelles sont les responsabilités du chef d’entreprise, du “délégué à la protection des données”, du sous-traitant, du consultant qui procède à l’obligatoire “étude d’impact” d’un vol ou d’une “compromission” de données? Vers qui se tourner pour cette analyse préliminaire? Quelles sont les premières mesures à prendre? Quelles compétences conserver en interne? Qui peut endosser le rôle de délégué à la protection des données? Faut-il adapter les contrats existants? etc. etc